Oktober 22, 2021
Atomic Red Team Teil 2: Atomic Red Team für die Emulation gegnerischer Angriffe verwenden
In diesem Blog werden wir weiter ausführen, was wir in Teil 1 dieser Serie besprochen und bei unserer Präsentation auf der DattoCon NOW gezeigt haben. Wir werden auf die technischen Aspekte der verwendeten Tools und deren Konfiguration eingehen.
Im vorangegangenen Blogbeitrag haben wir uns mit der Emulation von Angriffen befasst, mit der Sie Ihre Cyberabwehr überprüfen und verbessern können. Nun zeigen wir Ihnen, wie Sie ein Open-Source-Tool verwenden, um Angriffstechniken in Ihrer Umgebung zu emulieren. Das Open-Source-Tool unserer Wahl ist Atomic Red Team von Red Canary. Einzelne Tests, die als Atomics bezeichnet werden, können manuell direkt auf einem System oder über das PowerShell-Framework Invoke-Atomic ausgeführt werden.
Mit Atomic Red Team können Sie über 200 verschiedene Angriffstechniken testen. Dieses Tool ist dem MITRE ATT&CK-Framework zugeordnet, was den Wechsel von Bedrohungsprofilen zur Emulation erleichtert.
Atomic Red Team sollte nicht auf einem Produktionssystem verwendet werden, da es dort Schaden anrichten kann. Die besten Ergebnisse erzielen Sie, wenn Sie ein Testsystem mit Sicherheitskontrollen und -konfigurationen verwenden.
Auswählen und manuelles Ausführen von Atomics
Da Atomic Red Team dem MITRE ATT&CK-Framework zugeordnet ist, können Sie das Verhalten von Angreifern mit jeder der 14 im Framework aufgeführten Vorgehensweisen emulieren.
Um Angriffe zu emulieren, ohne etwas dafür installieren zu müssen, navigieren Sie einfach zum Atomics-Verzeichnis des Atomic Red Team GitHub-Repositorys und wählen eine der aufgeführten Techniken aus. Jede Technik im Verzeichnis „Atomics" ist mit einer ID versehen, die MITRE ATT&CK entspricht. Die Ordner enthalten alle eine Markdown-Datei, die Beschreibungen der Technik, der verfügbaren Atomics und der zugehörigen Befehle enthält.
Sie können die Angriffstechnik mit den angegebenen Angriffsbefehlen auf einem Betriebssystem mit den nötigen Kontoberechtigungen ausführen. Die Ausführung eines Atomics führt entweder zu einer erfolgreichen Ausführung oder zeigt eine Fehlermeldung an, die darauf hinweist, dass die Sicherheitskontrollen eine erfolgreiche Ausführung der Technik verhindert haben.
Automatisieren und installieren von Atomics
Atomic Red Team kann auch über sein Ausführungsframework Invoke-Atomic ausgeführt werden, das mit allen Betriebssystemen kompatibel ist, die PowerShell unterstützen. Das Ausführungsframework kann eigenständig oder mit einer Kopie des Ordners „Atomics" installiert werden.
Die Installation des Invoke-Atomic-Frameworks und der Atomic-Tests erleichtert die Ausführung mehrerer Atomics in schneller Folge.
Mit diesem Befehl wird Invoke-Atomic installiert und alle Atomic-Tests auf Ihr Gerät heruntergeladen:
"IEX (IWR 'https://raw.githubusercontent....' -UseBasicParsing); Install-AtomicRedTeam -getAtomics"
Weitere Informationen zur Installation finden Sie im Wiki auf der Invoke Atomic Red Team GitHub-Seite.
Verwendung von Invoke-Atomic
Für dieses Beispiel haben wir Atomics ausgewählt, die den im Bedrohungsprofil des Datto Threat Management-Teams für die LockBit-Ransomware-Gruppe beschriebenen Angriffen entsprechen.
(Die Abbildung zeigt die ATT&CK-IDs der Ausführungsphase aus dem LockBit-Bedrohungsprofil von Datto)
Die Markdown-Datei für Geplanten Task/Job: Geplanter Task (T1053.005) listet sechs Atomics auf. In diesem Beitrag werden wir Test Nummer 2 verwenden.
Starten Sie zunächst PowerShell, um das Modul Invoke-Atomic mit dem folgenden Befehl auszuführen. Es ist wichtig zu beachten, dass alle Atomics mit der MITRE ATT&CK-ID benannt werden, die mit den verschiedenen Techniken und Herangehensweisen verbunden ist.
Invoke-AtomicTest T1053.005 -ShowDetailsBrief
Mit dem Flag „-ShowDetailsBrief“ werden die einzelnen Tests innerhalb dieses Atomics aufgelistet. Wie oben erwähnt, werden wir Test 2 verwenden, auf den wir zugreifen können, indem wir „-ShowDetailsBrief“ entfernen und „-TestNumbers“ sowie „-ShowDetails“ hinzufügen
Invoke-AtomicTest T1053.005 -TestNumbers 2 -ShowDetails
Mit der Option „ShowDetails" werden Informationen über den Atomic-Test angezeigt, den Sie gerade ausführen. Damit können Sie die Beschreibung überprüfen, um den Test zu verstehen und die Betriebssysteme und Voraussetzungen zu kontrollieren. Wenn Sie fertig sind, entfernen Sie einfach die Markierung „-ShowDetails“ und führen den Befehl aus.
Invoke-AtomicTest T1053.005 -TestNumbers 2
Dieser einfache Befehl hat eine Technik emuliert, die ein Angreifer ausführen könnte. Je nach Ergebnis möchten Sie diese Technik vielleicht zurücksetzen und erneut testen. Das Zurücksetzen lässt sich leicht bewerkstelligen, indem Sie dem obigen Befehl die Markierung „-cleanup“ hinzufügen, wodurch die vorherige Aktivität rückgängig gemacht wird, um einen erneuten Test zu ermöglichen.
Invoke-AtomicTest T1053.005 -TestNumbers 2 -cleanup
Wenn dieser Befehl ausgeführt wurde, haben Sie erfolgreich einen Angriff auf Ihr Gerät emuliert und es zurückgesetzt, um für zukünftige Angriffsemulationen bereit zu sein.
Wir hoffen, dass Sie anhand dieses Beispiels sehen konnten, wie einfach die Emulation von Angriffstechniken für den Test Ihrer Sicherheitskontrollen und Erkennungstools ist. Die Emulation von Angriffstechniken ist ein wichtiges Instrument, um Sie und Ihre Kunden widerstandsfähiger gegen Cyberangriffe zu machen.
